Aviso de Privacidad Integral
1. Quiénes Somos
Cruce Consulting LLC ("Cruce", "nosotros" o "nuestro/a") es una firma de consultoría en inteligencia artificial constituida bajo las leyes del Estado de California, Estados Unidos. Diseñamos, desarrollamos y operamos productos y servicios de software impulsados por IA para nuestros clientes, incluyendo agentes conversacionales, sistemas de programación de citas, plataformas de procesamiento de datos y herramientas de automatización empresarial. Nuestro sitio web principal es cruceconsulting.com.
2. Alcance de Este Aviso
Este aviso describe cómo recopilamos, usamos, divulgamos, almacenamos y protegemos la información personal cuando usted interactúa con nuestros productos, servicios y sitios web. Cubre la información personal procesada a través de nuestros agentes de IA orientados al cliente (incluyendo, entre otros, sistemas de citas basados en WhatsApp), nuestra plataforma de educación en línea Pausa y Aprende Sobre IA, y nuestras comunicaciones directas con visitantes del sitio web y clientes potenciales.
3. Nuestro Rol: Encargado y Responsable del Tratamiento
Cruce desempeña dos roles distintos con respecto a la información personal:
- Como encargado del tratamiento, operamos sistemas de IA en nombre de nuestros clientes (los responsables del tratamiento). Por ejemplo, cuando operamos un agente de programación de citas para una organización cliente, dicha organización determina los fines y medios del tratamiento. Procesamos información personal únicamente según las instrucciones de nuestros clientes y de conformidad con el contrato de servicios, el addendum de procesamiento de datos (DPA) y el acuerdo de confidencialidad (NDA) correspondientes.
- Como responsable del tratamiento, determinamos los fines y medios del tratamiento para: (i) nuestra plataforma de educación en línea Pausa y Aprende Sobre IA; (ii) nuestras interacciones directas con visitantes del sitio web y clientes potenciales; y (iii) nuestras operaciones comerciales y sistemas internos.
Cuando Cruce actúa como encargado, el aviso de privacidad del responsable del tratamiento prevalece para el procesamiento que este dirige.
4. Información que Recopilamos
La información personal específica que procesamos varía según el servicio, el despliegue del cliente y nuestro rol como encargado o responsable. En todos nuestros productos, las categorías generales de información personal que podemos recopilar o procesar incluyen:
- Datos de identificación, como nombre completo
- Datos de contacto, como número de teléfono y dirección de correo electrónico
- Datos específicos del servicio requeridos para prestar el servicio solicitado. Dependiendo del despliegue, esto puede incluir: detalles de citas o servicios (fecha, hora, tipo, ubicación); identificadores de referencia o caso (por ejemplo, un número de confirmación o código de seguimiento); información de soporte que el despliegue del cliente requiera para cumplir con el servicio; y contenido de comunicaciones intercambiadas a través de WhatsApp, SMS, correo electrónico u otros canales habilitados para el despliegue.
- Información sobre dependientes cuando es proporcionada por un padre o tutor legal con el propósito limitado de programar servicios en los que el dependiente es participante (por ejemplo, un menor incluido en una cita familiar)
- Datos de cuenta y perfil para nuestra plataforma de educación en línea Pausa y Aprende Sobre IA, incluyendo credenciales, registros de inscripción y progreso del curso
- Datos técnicos recopilados automáticamente cuando visita nuestros sitios web (dirección IP, tipo de navegador, marcas de tiempo y URL de referencia)
Las categorías específicas de información personal procesada en cualquier despliegue particular del cliente son determinadas por el cliente (actuando como responsable del tratamiento) y se divulgan en el propio aviso de privacidad del cliente. Cruce procesa dichos datos únicamente según las instrucciones del cliente y conforme a lo establecido en el contrato de servicios y el addendum de procesamiento de datos correspondientes.
Independientemente del despliegue, Cruce no recopila ni almacena información de cuentas financieras (números de tarjetas de crédito, datos bancarios), números de seguro social o identificación gubernamental, registros de salud o médicos, números de licencia de conducir, identificadores biométricos o datos de geolocalización precisa, excepto cuando sea expresamente requerido por un compromiso específico con un cliente y esté regulado por un acuerdo escrito separado que establezca las salvaguardas adicionales y obligaciones de cumplimiento aplicables a dichas categorías.
Para los pagos de cursos en línea en nuestra plataforma educativa Pausa y Aprende Sobre IA, los pagos son procesados directamente por nuestro proveedor de pagos externo Stripe, Inc., que cuenta con certificación PCI-DSS Nivel 1 (ver Secciones 7 y 8). Cruce recibe únicamente datos de confirmación de pago (como referencia de transacción, monto y estado) y no almacena números completos de tarjetas de crédito, códigos CVV ni datos de cuentas bancarias.
5. Información Sobre Menores
Nuestros servicios no están dirigidos a menores de 13 años, y no recopilamos deliberadamente información personal directamente de menores. Cuando un padre o tutor legal proporciona el nombre de un menor con el propósito limitado de programar un servicio (como una cita gubernamental o médica), dicha información es recopilada del adulto responsable, no del menor.
Para residentes de California: de conformidad con la Ley de Privacidad del Consumidor de California (CCPA/CPRA), no vendemos ni compartimos información personal de consumidores menores de 16 años. No realizamos la venta ni el intercambio de información personal de ningún grupo de edad.
Si usted cree que se ha enviado información personal sobre un menor sin el consentimiento parental adecuado, contáctenos a la dirección indicada en la Sección 19 y eliminaremos la información de manera oportuna.
6. Cómo Utilizamos la Información
Utilizamos la información personal para los fines específicos y limitados para los cuales fue recopilada:
- Programar, confirmar, modificar y recordar a los usuarios sobre citas
- Enviar notificaciones operativas a través de WhatsApp, SMS o correo electrónico
- Gestionar listas de espera y procesar solicitudes de reprogramación
- Generar informes operativos para la organización cliente (cuando Cruce actúa como encargado)
- Operar, administrar y proteger nuestras plataformas
- Impartir cursos, procesar inscripciones y emitir certificados de finalización (Pausa y Aprende Sobre IA)
- Responder a sus consultas y solicitudes
- Cumplir con obligaciones legales y hacer valer nuestros acuerdos
No vendemos información personal. No compartimos información personal con terceros para publicidad conductual entre contextos. No utilizamos información personal con fines publicitarios.
7. Proveedores de Servicios Externos
Para operar nuestros productos y servicios, nos apoyamos en las siguientes categorías de proveedores externos, cada uno de los cuales procesa información personal únicamente como nuestro subencargado y bajo obligaciones contractuales de protección de datos:
- Infraestructura en la nube y seguridad: Cloudflare (alojamiento, entrega de contenido, firewall de aplicaciones web, protección contra DDoS)
- Entrega de mensajería: Twilio y la API de WhatsApp Business (operada por Meta Platforms, Inc.) para enviar y recibir mensajes
- Proveedores de modelos de IA: Cruce utiliza un conjunto seleccionado de proveedores de modelos de lenguaje de gran escala, elegidos por despliegue según los requisitos del caso de uso, la calidad del resultado y los compromisos del proveedor en cuanto al manejo de datos. Los proveedores actuales incluyen:
- Anthropic, PBC (familia de modelos Claude) — Proveedor principal de Cruce, seleccionado por su postura de seguridad y el compromiso contractual de que los datos de clientes enviados a través de la API no se utilizan para entrenar los modelos de Anthropic.
- OpenAI, L.L.C. (familia de modelos GPT) — utilizado en despliegues donde el caso de uso se beneficia de las capacidades de OpenAI, bajo los términos de la API de OpenAI (que, por defecto, no utilizan datos de clientes de la API para entrenar modelos).
- Google LLC (familia de modelos Gemini) — utilizado en despliegues específicos que se benefician de las capacidades multimodales de Gemini u otras características, bajo los términos de la API de Vertex AI / Gemini de Google.
- Procesamiento de pagos: Stripe, Inc. — procesa los pagos de cursos para Pausa y Aprende Sobre IA. Stripe está certificado como Proveedor de Servicios PCI-DSS Nivel 1. Los datos completos de instrumentos de pago (números de tarjeta, CVV, datos de cuentas bancarias) son manejados y almacenados exclusivamente por Stripe; Cruce recibe únicamente los datos de confirmación de pago necesarios para completar la transacción.
- Productividad y almacenamiento: Google LLC (Google Workspace, incluyendo Gmail y Google Drive) para comunicaciones internas, almacenamiento de documentos y administración empresarial
Cada proveedor está sujeto a sus propios términos contractuales y prácticas de privacidad. Seleccionamos proveedores que mantienen certificaciones de seguridad reconocidas (como SOC 2 Tipo II, PCI-DSS, ISO 27001 o equivalentes) y que ofrecen términos contractuales de procesamiento de datos.
8. Pausa y Aprende Sobre IA — Educación en Línea
Pausa y Aprende Sobre IA es nuestra plataforma de educación en línea que ofrece cursos, talleres y materiales de aprendizaje digital sobre inteligencia artificial. Para esta plataforma, Cruce actúa como responsable del tratamiento.
Recopilamos de los estudiantes: nombre, dirección de correo electrónico, credenciales de cuenta, inscripción y progreso del curso, datos de confirmación de pago (los pagos de cursos son procesados por Stripe, Inc.; Cruce no almacena números completos de tarjetas de pago, códigos CVV ni datos de cuentas bancarias — ver Sección 7), y cualquier mensaje o tarea enviada como parte del trabajo del curso.
Utilizamos esta información para proporcionar la experiencia del curso, emitir certificados, comunicar actualizaciones sobre los cursos en los que está inscrito y mejorar nuestro contenido educativo. No utilizamos datos de estudiantes para mercadotecnia no relacionada sin su consentimiento previo por separado.
9. Seguridad de los Datos
Implementamos salvaguardas administrativas, técnicas y físicas diseñadas para proteger la información personal contra acceso, alteración, divulgación o destrucción no autorizados, incluyendo:
- Cifrado en reposo (cifrado de disco completo en todos los sistemas y almacenamiento de producción)
- Cifrado en tránsito (TLS 1.2 o superior para toda transmisión de datos)
- Hashing de identificadores sensibles (números de teléfono, números de cuenta) mediante SHA-256 cuando corresponda
- Control de acceso basado en roles con permisos por ruta y el principio de mínimo privilegio
- Autenticación multifactor (MFA / 2FA) obligatoria para todas las cuentas corporativas
- Gestión empresarial de contraseñas con rotación periódica de credenciales
- Credenciales de API almacenadas como secretos cifrados y nunca incluidas en el código fuente
- Firewall de aplicaciones web y mitigación de DDoS a través de Cloudflare
- Registro y monitoreo de acciones administrativas en sistemas de producción
Ningún método de transmisión por internet o método de almacenamiento electrónico es 100% seguro. Si bien nos esforzamos por utilizar medios comercialmente aceptables para proteger la información personal, no podemos garantizar seguridad absoluta.
10. Retención de Datos
Retenemos información personal solo durante el tiempo necesario para cumplir los fines descritos en este aviso, cumplir con nuestras obligaciones legales, resolver disputas y hacer valer nuestros acuerdos. Los períodos de retención predeterminados son:
- Datos de citas y mensajes operativos: treinta (30) días después de que la cita se complete o cancele, a menos que el contrato de servicios del cliente especifique un período diferente.
- Datos de estudiantes (Pausa y Aprende): durante la vigencia de la cuenta, más veinticuatro (24) meses adicionales para registros académicos (certificados emitidos), a menos que el estudiante solicite la eliminación anticipada.
- Datos de consultas del sitio web y contactos comerciales: veinticuatro (24) meses desde la última interacción.
- Registros requeridos para fines legales o fiscales: retenidos durante el período requerido por la ley aplicable.
Cuando la información personal ya no es necesaria, la eliminamos de forma segura o la anonimizamos de manera irreversible.
11. Cookies y Tecnologías Similares
Nuestros sitios web utilizan un conjunto limitado de cookies y tecnologías similares:
- Cookies estrictamente necesarias requeridas para la funcionalidad y seguridad del sitio (estas no pueden deshabilitarse)
- Cookies de análisis que nos ayudan a comprender cómo los visitantes utilizan el sitio, de forma agregada y sin identificar a visitantes individuales
No utilizamos cookies publicitarias ni píxeles de seguimiento de terceros para publicidad conductual. Puede configurar su navegador para rechazar cookies; hacerlo puede afectar ciertas funciones del sitio.
12. Sus Derechos
De conformidad con la legislación aplicable, usted puede tener derecho a:
- Acceder a la información personal que tenemos sobre usted
- Solicitar la corrección de información inexacta o incompleta
- Solicitar la eliminación de su información
- Oponerse o restringir ciertas actividades de procesamiento
- Recibir su información en un formato portátil y legible por máquina
- Retirar el consentimiento en cualquier momento, cuando el procesamiento se base en el consentimiento
- Presentar una queja ante la autoridad de protección de datos competente
En México, de conformidad con la LFPDPPP, usted tiene derecho a ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Para ejercer estos derechos, envíe una solicitud a la dirección indicada en la Sección 19, incluyendo: (i) su nombre completo y domicilio u otro medio para comunicarle la respuesta; (ii) los documentos que acrediten su identidad o la representación legal; (iii) la descripción clara y precisa de los datos personales respecto de los cuales desea ejercer alguno de los derechos ARCO; y (iv) cualquier otro elemento o documento que facilite la localización de sus datos personales.
Donde nuestro cliente es el responsable del tratamiento, dirigiremos su solicitud a ellos o los asistiremos en su cumplimiento, según lo requiera nuestro contrato de servicios. Para ejercer derechos directamente con Cruce, contáctenos utilizando los datos de la Sección 19. Responderemos dentro de los plazos requeridos por la ley aplicable (típicamente 45 días bajo CCPA/CPRA; 20 días hábiles bajo la LFPDPPP).
13. Divulgaciones para California (CCPA / CPRA)
Esta sección proporciona información adicional para residentes de California bajo la Ley de Privacidad del Consumidor de California, según fue enmendada por la Ley de Derechos de Privacidad de California.
Categorías de información personal recopilada en los últimos doce (12) meses: identificadores (nombre, correo electrónico, teléfono), información comercial (servicios programados o inscritos), actividad en internet (uso limitado del sitio web) e inferencias derivadas de lo anterior únicamente para la operación del servicio.
Fines: como se describe en la Sección 6.
Venta o intercambio: no vendemos ni compartimos información personal según lo definido por la CCPA/CPRA, y no lo hemos hecho en los doce meses anteriores.
Información personal sensible: no utilizamos ni divulgamos información personal sensible para fines más allá de los permitidos por la Sección 7027(m) de las regulaciones de la CCPA.
Los residentes de California pueden ejercer sus derechos contactándonos a la dirección indicada en la Sección 19. No discriminaremos a ningún consumidor por ejercer sus derechos.
14. Datos Internacionales y México (LFPDPPP)
Algunos de nuestros servicios implican el procesamiento de información personal de individuos ubicados fuera de los Estados Unidos, incluyendo México. Cuando nuestro cliente (responsable del tratamiento) está ubicado en México o procesa datos de residentes mexicanos, el tratamiento se rige principalmente por el propio aviso de privacidad del responsable bajo la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) y su Reglamento.
Para las personas que interactúan con Cruce directamente (por ejemplo, estudiantes de Pausa y Aprende Sobre IA que residen en México), este documento constituye el Aviso de Privacidad Integral en cumplimiento de la LFPDPPP.
De conformidad con el artículo 36 de la LFPDPPP, le informamos que sus datos personales pueden ser transferidos y tratados dentro y fuera de los Estados Unidos Mexicanos por las personas y para los fines descritos en este aviso. Al proporcionar sus datos personales, usted consiente dichas transferencias en los términos aquí establecidos.
15. WhatsApp y Plataformas de Mensajería
Cuando usted se comunica con nosotros a través de WhatsApp, sus mensajes están sujetos a la propia política de privacidad de WhatsApp y a los términos de la API de WhatsApp Business, además de este aviso. Recibimos y procesamos el contenido de los mensajes a través de la API de WhatsApp Business de Meta por medio de nuestro proveedor de servicios de mensajería (Twilio).
El contenido de los mensajes se retiene durante el tiempo necesario para cumplir con el servicio solicitado (programación, confirmación, seguimiento e informes operativos al cliente), y en todo caso no más allá del período de retención especificado en la Sección 10 o en el contrato de servicios del cliente correspondiente.
16. Notificación de Violación de Datos
En caso de una violación de datos personales que genere un riesgo para las personas afectadas:
- Notificaremos a nuestro cliente (cuando Cruce actúe como encargado) sin demora indebida, de conformidad con nuestro contrato de servicios y la ley aplicable;
- Notificaremos a las personas afectadas cuando Cruce sea el responsable, dentro del plazo requerido por la ley aplicable (no más de 72 horas después de tener conocimiento de la violación cuando este requisito aplique);
- Notificaremos a la autoridad de protección de datos competente cuando sea requerido (incluyendo, en California, al Fiscal General bajo Cal. Civ. Code §1798.82, y en México, a los titulares de datos afectados de conformidad con el Artículo 20 de la LFPDPPP).
17. Precedencia de los Contratos de Servicios con Clientes
Cuando Cruce procesa información personal en nombre de un cliente, los términos específicos de manejo de datos, retención, seguridad, confidencialidad y uso se rigen por el contrato de servicios, el addendum de procesamiento de datos y el acuerdo de confidencialidad ejecutados entre Cruce y dicho cliente. En caso de conflicto entre este aviso y dichos contratos con respecto a los datos procesados en nombre de ese cliente, los contratos del cliente prevalecen. Este aviso tiene como objetivo describir nuestras prácticas generales e informar a los titulares de datos sobre sus derechos.
18. Cambios a Este Aviso
Podemos actualizar este aviso periódicamente para reflejar cambios en nuestras prácticas, requisitos legales u operaciones comerciales. La fecha de "Vigencia" y la "Versión" al inicio de este documento indican la revisión más reciente. Cuando los cambios sean materiales, proporcionaremos un aviso previo razonable a través de nuestro sitio web o, cuando sea apropiado, mediante notificación directa. El uso continuado de nuestros servicios después de la fecha de vigencia de cualquier cambio constituye la aceptación del aviso actualizado.
19. Contacto
Para consultas relacionadas con privacidad, para ejercer sus derechos o para reportar una inquietud, comuníquese con:
Cruce Consulting LLC
Oficina de Privacidad
Correo electrónico: privacy@cruceconsulting.com
Sitio web: cruceconsulting.com
Jurisdicción: Condado de Los Ángeles, California, Estados Unidos
Para consultas en inglés o derechos bajo la CCPA/CPRA, consulte nuestra Privacy Policy en inglés.